Utiliser les scripts d’analyses personnalisés

Les scripts d’analyse personnalisés permettent d’ajouter des scripts d’analyse à ceux fournis par Cyberwatch. Les résultats de ces scripts d’analyse seront remontés dans les informations des actifs associés.

L’intérêt peut être d’ajouter des informations système, des packages ou applications, etc., à l’actif. Les propriétés qu’il est possible de remonter et la syntaxe des résultats de scripts sont décrits dans la documentation des données déclaratives.

Activation de la fonctionnalité

La fonctionnalité s’active en se rendant sur Administration et en activant « Analyses personnalisées ». Si le menu « Scripts personnalisés » n’est pas disponible dans les configurations, cela peut signifier que cette fonctionnalité n’est pas active dans votre licence Cyberwatch. Vous pouvez nous contacter à l’adresse e-mail support@cyberwatch.fr pour que nous l’activions (pas de coût additionnel).

Création d’un script d’analyse personnalisé

1. S’assurer que la fonctionnalité Analyses personnalisées est bien activée ;
2. Se rendre dans Réglages > Scripts d’analyse et cliquer sur le bouton + Ajouter.

• Le champ Nom permet d’identifier le script d’analyse personnalisé ;
• Le champ Système d’exploitation permet de spécifier la cible du script d’analyse personnalisé. Celui-ci sera exécuté seulement sur les actifs ayant le système d’exploitation ciblé par le script d’analyse ;
• Le champ Code Source doit contenir le script d’analyse conçu. Celui-ci doit être conforme au système d’exploitation ciblé, et remonter les informations souhaitées en suivant la syntaxe des données déclaratives

Après avoir sauvegardé ce nouveau script, il est nécessaire de l’associer à une politique d’analyse afin qu’il soit exécuté sur les actifs ciblés.

Associer un script d’analyse personnalisé à une politique d’analyse

1. Sélectionner une politique d’analyse dans la liste Réglages > Politiques d’analyses.
2. Cliquer sur le bouton d’édition (icône de crayon) correspondant à la politique d’analyse à éditer.
3. Dans la ligne « Analyses personnalisées » du formulaire, cliquer sur le bouton « Ajouter une analyse personnalisée ».
4. Sélectionner l’analyse ainsi que sa période de récurrence.
5. Sauvegarder.

Dissocier un script d’analyse personnalisé d’une politique d’analyse

1. Sélectionner une politique d’analyse dans la liste Réglages > Politiques d’analyses.
2. Cliquer sur le bouton d’édition (icône de crayon) correspondant à la politique d’analyse à éditer.
3. Dans la ligne « Analyses personnalisées » du formulaire, cliquer sur l’icône de corbeille correspondant à l’analyse personnalisée à dissocier.
4. Sauvegarder.

Cas pratique : Mettre en place un script d’analyse

Supposons qu’une technologie non couverte nativement par les scans de vulnérabilités Cyberwatch, telle que Keycloak, soit présente sur nos actifs Linux. Nous pouvons ainsi mettre en place un script d’analyse personnalisé afin de remonter les informations nécessaires à Cyberwatch, qui pourra en prendre connaissance et remonter les potentielles vulnérabilités associées.

• La première étape consiste à pouvoir récupérer la version de la technologie souhaitée de manière dynamique sur les actifs. Dans le cas de Keycloak, la commande suivante peut être utilisée :

bash-5.1$ /opt/keycloak/bin/kc.sh --version
Keycloak 24.0.2
JVM: 17.0.10 (Red Hat, Inc. OpenJDK 64-Bit Server VM 17.0.10+7-LTS)
OS: Linux 5.15.0-101-generic amd64
# Nous formattons le retour de la commande pour n'obtenir que la version
bash-5.1$ /opt/keycloak/bin/kc.sh --version | grep 'Keycloak' | cut -d ' ' -f2
24.0.2

• Afin de communiquer les informations sur la technologie et sa version à Cyberwatch, nous pouvons utiliser le format du code CPE qui est un schéma de nommage structuré. Dans le cas de Keycloak, le code CPE associé est le suivant, où il conviendra de remplacer <version> par la version ciblée :

cpe:2.3:a:redhat:keycloak:<version>:*:*:*:*:*:*:*

Afin de simplifier la récupération du code CPE associé à une technologie, un formulaire de recherche est disponible.

• Une fois la méthode de récupération dynamique de la version de notre technologie mise en place, et en possession du code CPE, il est possible de mettre en place le script d’analyse personnalisé suivant :

KC_VERSION=$(/opt/keycloak/bin/kc.sh --version | grep 'Keycloak' | cut -d ' ' -f2)
echo "NVD_APPLICATION:cpe:2.3:a:redhat:keycloak:$KC_VERSION:*:*:*:*:*:*:*"

En sortie de script nous obtenons ainsi la donnée déclarative NVD_APPLICATION qui permet de renseigner une technologie à partir de son code CPE.

• La dernière étape consiste à mettre en place ce script d’analyse personnalisé sur Cyberwatch et à l’associer à une politique d’analyse.